FC2ブログ

記事一覧

暗証番号決め撃ちの「逆総当たり」で口座番号も名義もバレバレ! 誰もが被害者になり得る恐怖の手口が判明(2020年9月17日配信『AERA.com』)

キャプチャ

0日夕に開かれたNTTドコモの会見では丸山誠治副社長(左から2人目)らが謝罪し、被害額を全て補償すると発表した/東京都千代田区 

 送金や決済ができるサービス「ドコモ口座」への不正振り込みが明らかになった。浮かび上がったのは、私たちの口座情報が簡単に入手されるという恐怖だ。AERA 2020年9月21日号から。

キャプチャ2
*  *  *
 気になるのは、今回の犯人が被害者の「名義人・口座番号・暗証番号」をどうやって入手したのかだ。10日のドコモの会見では、一部の不正振り込みで「生年月日」まで使用されていたことも明らかになった。詳細な手段は警察の捜査を待つ必要があるが、複数の専門家が指摘するのが「リバースブルートフォース攻撃」という手法だ。

 ブルートフォースは「総当たり」の意味。一つのID(この場合は口座番号)に対してパスワードを総当たりで試していく手法で、スパイ映画やドラマ「半沢直樹」でもあったように古くから知られているが、近年は数回パスワードを間違うとIDがロックされるシステムになっており、有効とは限らない。

 一方、今回使われた可能性がある手法はその逆(リバース)。「1111」「1234」などと暗証番号を固定した上で、それに合う7桁の口座番号をコンピューターのツールなどを使って総当たりで探っていく。これだと一つの口座番号に対しては1度ずつしかパスワードを試さないので、ロックされずに済むというわけだ。

 暗証番号に合う口座番号さえわかれば、ネットバンキングで途中まで振り込み手続きを進めるなどして、名義人も簡単に割り出せる。暗証番号に生年月日を使っていたら、生年月日までも不正に入手される。4桁の暗証番号はわずか1万通り。犯人側に物量作戦に出る力があれば、私たちの誰もが口座情報を不正入手される危険性がある。

 個人情報を盗むためのホームページに誘導する「フィッシング詐欺」の手口で暗証番号や口座番号を入手した可能性も考えられるが、「その場合はより被害の範囲が大きかったはず」との指摘も出ている。

■利用者側の意識も重要

 今回ドコモは謝罪会見で、銀行の問題点を指摘しなかった一方、逆総当たり攻撃を受けたかどうかなどの情報を銀行から「得ていない」と回答するなど、銀行との連携不足も目立った。

 今後はドコモなど決済業者側の対策に加え、銀行側の本人確認強化が急務だ。さらに、「総当たり攻撃」の懸念が消えない数字4桁の暗証番号のままでいいのかを含め、金融庁が金融システム全体について安全性を見直す必要もありそうだ。

 ただ、事業者が対策を進めても、犯罪者側は更に巧妙にすきを突いてくる「いたちごっこ」になる可能性も高い。消費者としてまず注意すべきなのは、銀行口座に関するサービスを利用する際には、口座からの不審な出金がないかをこまめに確認するなど「自分のお金は自分で守る」という意識だろう。
(ライター・平土令)
※AERA 2020年9月21日号より抜粋




スポンサーサイト



プロフィール

gogotamu2019

Author:gogotamu2019
障害福祉・政治・平和問題の最新ニュース・論説紹介

最新記事

カテゴリ